środa, marca 24, 2010

Certyfikaty klienta na IIS 6.0

Na IIS-ie w celu autoryzacji klienta certyfikatem nie należy używać Certificate Trust List. Przeważnie certyfikat klienta będzie podpisany certyfikatem nadrzędnej jednostki a na najwyższym poziomie certyfikatem CA. IIS do Certificate Trust List akceptuje tylko certyfikat self-signed, czyli w tym wypadku CA. Uaktywniając CTL spowodujemy, że do serwera zautentykuje się każdy dysponujący dowolnym certyfikatem, który w ścieżce certyfikacji ma to samo CA!

Żeby rozwiązać problem uaktywniamy mapowanie certyfikatu do użytkownika lokalnego.



Na zasobie IIS ustawiamy ACL tak, żeby dostęp miał tylko zamapowany użytkownik (pozostałe wpisy uprawnień to SYSTEM, NETWORK_SERVICE, NETWORK, IIS_WPG i Administrators).



Teraz jeszcze jedna kwestia: certyfikat klienta podaje jako adres CRL hosta z sieci wewnętrznej. Można wyłączyć sprawdzanie, czy certyfikat został wycofany, za pomocą narzędzia IIS Metabase Explorer z pakietu IIS Resource Kit - dodając wpis CertCheckMode=1 (user: Server, attributes: Inheritable).



Należy pamiętać o wyłączeniu anonimowego dostępu.

1 komentarze:

Unknown pisze...

Witam, jestem reporterką TVN Warszawa. Zainteresował mnie twój post dotyczący stołówki PW. Chce zrobić materiał o tej likwidacji. Czy mógłbyś podać do siebie kontakt? Mógłbyś podzielić się z nami swoim zdaniem na ten temat?

Bardzo serdecznie proszę o maila: anna.kulbicka@gmail.com

Pozdrawiam serdecznie